Гостевая статья компании Proanalytics Academy
Эта статья – небольшой блиц ответов на вопросы, которые мне, как веб-аналитику компании Proanalytics Academy, часто задают во время консультаций по настройке согласия (Consent).
Важные нюансы
- Этот материал не заменяет юридическую консультацию. Его цель – немного развенчать кучу мифов и ложных утверждений о настройках консента, которые ходят по просторам интернета. Да, я провел большую работу, собрав ответы, и пообщался с юристами многих компаний, но я сам не юрист. Я веб-аналитик. Поэтому вы можете быть 100% уверены в моих ответах на технические вопросы, но не забудьте уточнить у юриста юридические нюансы;
- Я также не хочу перегружать текст техническими терминами, поэтому буду использовать термин “cookie”. Но при этом буду иметь в виду разные хранилища данных: собственно cookie, Local Storage и Session Storage и другие технологии. Детальнее об этом будет в пункте #3.
1
Это один из самых популярных вопросов. Ответ – нет.
Это касается не только cookie третьей стороны, но также и cookie первой стороны. То есть вы не имеете права собирать персональные данные пользователей без их согласия, независимо от того, в какие cookie это в результате передается.
2
Да, можно. Если такие cookie напрямую необходимы для предоставления услуги конечному пользователю.
Всегда существует группа обязательных cookie. Если они нужны для корректной работы сайта, например когда пользователь добавляет товар в корзину в интернет-магазине, то было бы очень неудобно, если бы при переходе на следующую страницу этот товар исчезал.
Еще один пример использования обязательных кук: сохранение ваших данных входа в Facebook или другие сервисы, чтобы вам не нужно было постоянно вводить логин и пароль при каждом обновлении страницы.
То есть, если эти cookie обязательны для функционирования сайта, вы имеете право их использовать.
Еще один важный момент: когда пользователь заполняет форму, он указывает свои персональные данные. Согласно GDPR, собирать такие персональные данные можно. Но важно, чтобы вы проинформировали пользователя, и он дал согласие на политику работы с этими данными. Даже если пользователь нажал на баннере Deny, но заполнил форму и согласился на вашу политику работы с данными, желая, чтобы вы связались с ним и оставил свои контактные данные, вы имеете право собрать эту информацию и перенести ее, например, в CRM- систему.
3
Когда мы говорим о законах защиты персональных данных пользователей, под общим термином “cookie” подразумеваются не только cookie, но и Local Storage, Session Storage, определенные пиксельные теги, индекс DB и многое другое. В целом эти правила относятся ко всем вебтехнологиям, которые позволяют хранить информацию о пользователях.
4
Касаются ли правила согласия только данных, передаваемых третьим сторонам?
Мы говорим о законах, регулирующих сбор и обработку персональных данных пользователей. Нигде в этих законах не указано, что это касается только третьих сторон. Правила включают весь процесс сбора, хранения и обработки персональных данных пользователей в пределах вашей компании.
Независимо от того, собираете ли вы данные для собственных нужд или третьих сторон, эти правила касаются всех этапов обработки персональных данных ваших посетителей и клиентов.
5
Распространяются ли эти требования только на Европу или действуют также в других регионах?
Если мы говорим о GDPR, то он работает именно в Европе, вернее, в Европейской Экономической Зоне (ЕЭС). Но в других странах есть схожие законы: один из самых известных – CCPA в Калифорнии. Такие же законы действуют в Бразилии, Южной Африке, Японии и других странах и регионах.
В целом почти во всех странах, где уделяют внимание защите персональных данных, есть соответствующее законодательство. Однако в некоторых регионах эти правила служат только рекомендациями, а в других – обязательны к выполнению. Например, в некоторых странах действует принцип «разрешено, пока пользователь не запретит», тогда как в Европе, в частности благодаря GDPR, действует правило, что «пока пользователь не даст согласия, собирать данные нельзя».
6
Распространяются ли эти настройки в Украине?
Да, эти требования распространяются и на Украину, хотя на несколько ином уровне.
Я бы сказал, что есть более-менее прогрессивные подходы, и, к сожалению, Украина сейчас использует менее прогрессивный. У нас также есть аналог GDPR, принятый уже много лет тому назад.
Но если смотреть на ту же Европу, GDPR начал действовать там в 2018 году, но основные изменения начались в марте 2024 года, когда вступил в силу DMA (Закон о цифровых рынках). Поэтому происходящее – скорее следствие внедрения DMA, чем влияние GDPR.
В Украине есть аналог GDPR, но поскольку у нас нет DMA, то рекомендация по баннерам желательна, но не обязательна. То есть, если в Европе собирать данные можно только после получения согласия пользователя, в Украине в большинстве случаев разрешено собирать данные, пока пользователь прямо не запретит этого. К примеру, баннеры с кнопкой «ОК», которые считаются некорректными в ЕС, в Украине пока не нарушают закон.
Но помните, что есть две группы требований: первая касается законодательства, а вторая — вашего взаимодействия с рекламными и аналитическими системами. На законодательном уровне в Украине все еще находится на начальных этапах. Возможно, Google со временем потребует передачи сигналов о согласии пользователей и украинских сайтов.
Пока что это не обязательно, но очень рекомендовано. Пока можно использовать альтернативные варианты, такие как OK-баннеры с условием, что пользователь дает согласие, оставаясь на сайте. Ну и не забывайте о моральной стороне вопроса: всегда хорошо, когда твои данные используют с согласия.
7
Относятся ли настройки согласия только к сервисам Google или охватывают и другие платформы?
Настройка согласия — это общее правило защиты персональных данных, которое касается всех систем, куда передаются данные . Это включает все рекламные и аналитические платформы.
Но я догадываюсь, почему создается впечатление, что эти требования больше касаются Google. На законодательном уровне правила касаются всех, но действительно кажется, что Google ввел самые строгие требования. К примеру, пока Facebook не ограничивает рекламу, если нет сигналов согласия пользователя, а Google уже начал внедрять это в некоторых рекламных кабинетах. Именно поэтому создается впечатление, что эти правила касаются преимущественно Google. Но, как уже упоминалось, они действуют для всех платформ. И у того же Facebook , и у Bing уже тоже появляются соответствующие разделы в справках.
8
Касается ли консент сайтов, которые покупают рекламу, а не продают ее?
Да. Этот вопрос регулируется несколько иным законом – TCF (Transparency and Consent Framework). Вы можете подробнее об этом почитать на сайте Interactive Advertising Bureau . Однако возвращаемся к ответу на первый вопрос: это касается любых действий компании, связанных со сбором, хранением или анализом персональных данных пользователей.
9
Нужно ли иметь отдельную страницу с Privacy Policy?
Официального требования нет, но я и юристы, с которыми я общался, однозначно рекомендуем создать такую страницу. Это помогает пользователям получить всю необходимую информацию, а вам соответствовать требованиям прозрачности. Дополнительные сведения о требованиях к информированию пользователей можно найти в GDPR Article 13: Personal Data Collected .
10
CMP, или платформа управления согласием – удобное и быстрое решение для компаний малого и среднего размера. При использовании CMP вы значительно снизите расходы на разработку. Также баннеры будут автоматически обновляться в соответствии с изменениями в законодательстве. А еще CMP позволяет легко кастомизировать баннеры с учетом бренда и поддерживает мультиязычность и геотаргетинг для соответствия локальным требованиям. Однако есть один существенный недостаток — стоимость услуг.
Самостоятельная настройка через GTM – это бесплатный метод, дающий больше гибкости. Однако вам нужно будет потратить больше времени на разработку и тестирование, а также более высокий уровень технических знаний. Для настройки через GTM нужно создать собственные теги, триггеры и переменные, что может быть сложным для компаний без технических специалистов. Кроме того, при самостоятельной настройке нужно постоянно мониторить изменения в законодательстве.
По моему мнению, использование готового решения CMP более целесообразно. Консент — это преимущественно юридический аспект, и штрафы за его несоблюдение могут оказаться существенными. Поэтому лучше доверить этот вопрос профессионалам, у которых есть опыт и необходимые инструменты для отслеживания всех аспектов этого процесса.
11
Да, конечно, можно использовать GTM, но есть нюансы.
Если мы говорим о чистом коде тег-менеджера, то следует понимать, что он не устанавливает никаких cookie.
Если быть очень точным, то GTM на самом деле устанавливает cookie, но только когда активируется режим предварительного просмотра в GTM. Это делает только человек, настраивающий GTM в компании.
Для посетителей сайта GTM никаких cookie самостоятельно не устанавливает. Однако через GTM можно запускать скрипты, которые могут устанавливать куки.
То есть, резюмируя, сам по себе GTM не нарушает GDPR. Очень важно, чтобы внутри него без согласия пользователя не запускались коды, устанавливающие cookie, которые уже могут нарушать GDPR.
12
По словам юристов, это не нарушение GDPR. Несмотря на то, что баннер не показан пользователю и согласие не получено, при правильной реализации это не нарушение GDPR.
Представьте, на сайте установлен баннер согласия, настроенный через Google Tag Manager, но некоторые блокировщики рекламы могут блокировать не только рекламу, но и GTM. И в результате баннер не отображается пользователю, хотя он зашел на сайт.
Правильная реализация означает Google Tag Manager с настроенным согласием через CMP или собственный баннер. Основной код и все маркетинговые и аналитические коды находятся внутри Google Tag Manager. Если GTM не заблокирован, все работает правильно: появляется баннер, человек дает согласие, и все коды запускаются, или баннер появляется, пользователь не дает согласия, и коды не запускаются. Все ясно. Если есть блокировщик рекламы, он блокирует GTM и показ баннера, а вместе с этим не запускаются аналитические и маркетинговые коды.
Таким образом, персональные данные не собираются, и это не нарушение GDPR.
Более того, расширение, блокирующее определенные скрипты, – это кастомизация сайта со стороны пользователя. Вы выполнили требования закона, а то, что баннер не появился – это следствие расширения пользователя, заблокировавшего GTM.
13
Нужно ли каждый раз, когда пользователь заходит на сайт, собирать согласие-повтор?
Каждый раз показывать баннер согласия не имеет смысла, чтобы не утомлять пользователя. Но в законодательстве разных стран есть дополнительные требования: иногда вам может потребоваться обновлять данные согласия. Наименьший рекомендуемый интервал – раз в полгода, в некоторых странах – раз в год. Это нужно для того, чтобы баннер не надоедал пользователю. Но при этом, чтобы и разрешение не было “вечным”.
Рекомендую уточнить требования в конкретной стране, где вы работаете.
Вместо вывода
- Надеюсь, что вы нашли ответы на вопросы, которые искали или в которых не были уверены. Если вам интересно углубиться в тему еще больше, узнать нюансы и детали настроек: вы можете пройти бесплатный курс Consent & GDPR in Marketing. В этом курсе собрана не только теория, но и инструкции по практическим настройкам консента с дополнительными материалами для лучшего усвоения.
